Auditori A Des Arrollo G 6

UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS
Facultad Regional Crdoba

Introduccin
A finales del siglo XX, los sistemas informticos se han constituido en herramientas
poderosas para administrar uno de los recursos ms importantes de una empresa: sus
sistemas de informacin. La Informtica ho forma parte de la gestin integral de la
empresa, por lo tanto, las normas estndares informticos deben estar sometidos a las
normas estndares generales de la organi!acin.
"ebido a la gran incidencia en el management empresarial, se efect#an Auditorias de
$istemas, con el fin de asegurar la eficiencia de las organi!aciones, as% como la
confiabilidad seguridad de sus sistemas de informacin.
&n el siguiente traba'o se abordara la tarea de auditoria desde el enfo(ue de dos reas
especificas: "esarrollo de )roectos o Aplicaciones &*plotacin.
&n primer lugar, la Auditoria de Aplicaciones consiste en tratar de audar a planificar,
preparar reali!ar auditorias de aplicaciones en funcionamiento, en cuanto al grado de
cumplimiento de los ob'eti+os para los (ue las mismas fueron creadas. "e esta manera en
consecuencia, se apoar el logro de los ob'eti+os organi!acionales de la manera mas
satisfactoria.
&n segundo lugar, la auditoria de e*plotacin debe asegurar el funcionamiento
adecuado de sistemas informticos su actuali!acin. La deteccin oportuna de las
debilidades del sistema permite me'orarlos racionali!ando los recursos.
Antono!!i , -ernardis , Ferrera , Rodas
.
Auditoria Informtica de Desarrollo de Proyectos o Aplicaciones

La funcin de "esarrollo es una e+olucin del llamado Anlisis )rogramacin de
$istemas Aplicaciones. A su +e!, engloba muchas reas, tantas como sectores
informati!ables tiene la empresa. /na Aplicacin recorre las siguientes fases:
)re re(uisitos del /suario 0#nico o plural1 del entorno
Anlisis funcional
"ise2o
Anlisis orgnico 0)reprogramacin )rogramacin1
)ruebas
&ntrega a &*plotacin alta para el )roceso.
&stas fases deben estar sometidas a un e*igente control interno, caso contrario, adems
del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la
auditoria deber comprobar la seguridad de los programas en el sentido de garanti!ar (ue
los e'ecutados por la ma(uina sean e*actamente los pre+istos no otros.
/na auditoria de Aplicaciones pasa indefectiblemente por la obser+acin el anlisis de
cuatro consideraciones:
Revisin de las metodologas utilizadas: $e anali!aran 3stas, de modo (ue se
asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin el fcil
mantenimiento de las mismas.
Control Interno de las Aplicaciones: se debern re+isar las mismas fases (ue
presuntamente han debido seguir el rea correspondiente de "esarrollo:
4 &studio de 5ialidad de la Aplicacin. Importante para Aplicaciones largas,
comple'as caras.
4 "efinicin Lgica de la Aplicacin. $e anali!ar (ue se han obser+ado los
postulados lgicos de actuacin, en funcin de la metodolog%a elegida la
finalidad (ue persigue el proecto.
4 "esarrollo 63cnico de la Aplicacin. $e +erificar (ue 3ste es ordenado
correcto. Las herramientas t3cnicas utili!adas en los di+ersos programas
debern ser compatible.
4 "ise2o de )rogramas. "ebern poseer la m*ima sencille!, modularidad
econom%a de recursos.
4 73todos de )ruebas. $e reali!arn de acuerdo a las 8ormas de la
Instalacin. $e utili!arn 'uegos de ensao de datos, sin (ue sea permisible
el uso de datos reales.
4 "ocumentacin. Cumplir la 8ormati+a establecida en la Instalacin, tanto
la de "esarrollo como la de entrega de Aplicaciones a &*plotacin.
4 &(uipo de )rogramacin. "eben fi'arse las tareas de anlisis puro, de
programacin las intermedias. &n Aplicaciones comple'as se producir%an
+ariaciones en la composicin del grupo, pero estos debern estar pre+istos.
Satisfaccin de usuarios: /na Aplicacin t3cnicamente eficiente bien
desarrollada, deber considerarse fracasada si no sir+e a los intereses del usuario (ue la
9
solicit. La a(uiescencia del usuario proporciona grandes +enta'as posteriores, a (ue
e+itar reprogramaciones disminuir el mantenimiento de la Aplicacin.
Control de Procesos y Ejecuciones de Programas Crticos: &l auditor no debe
descartar la posibilidad de (ue se est3 e'ecutando un mdulo (ue no se corresponde con el
programa fuente (ue desarroll, codific prob el rea de "esarrollo de Aplicaciones. $e
ha de comprobar la correspondencia biun%+oca e*clusi+a entre el programa codificado
su compilacin. $i los programas fuente los programa mdulo no coincidieran se podr%a
pro+ocar, desde errores de bulto (ue producir%an gra+es altos costes de mantenimiento,
hasta fraudes, pasando por acciones de sabota'e, espiona'e industrial4informati+o, etc. )or
ende, ha normas mu r%gidas en cuanto a las Librer%as de programas: a(uellos programas
fuente (ue haan sido dados por bueno por "esarrollo, son entregados a &*plotacin con el
fin de (ue 3ste:
4 Copie el programa fuente en la Librer%a de Fuentes de &*plotacin, a la (ue
nadie ms tiene acceso
4 Compile monte ese programa, depositndolo en la Librer%a de 7dulos de
&*plotacin, a la (ue nadie ms tiene acceso.
4 Copie los programas fuente (ue les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar (ue se le indi(ue. Cual(uier cambio e*igir pasar
nue+amente por el punto ..
Ciertamente, ha (ue considerar las cotas de honestidad e*igible a &*plotacin. Adems
de su presuncin, la informtica se ha dotado de herramientas de seguridad sofisticadas (ue
permiten identificar la personalidad del (ue accede a las Librer%as. 8o obstante, adems, el
e(uipo auditor inter+endr los programas cr%ticos, compilando lin; editando nue+amente
los mismos para +erificar su biuni+ocidad.
A$)&C6<$ A R&5I$AR &8 /8A A)LICACI=8
1 !a documentacin del sistema
&s importante re+isar la situacin en (ue se encuentra toda la documentacin bsica del
sistema, como los manuales de procedimientos, de usuario de anlisis si estn
acordes con las necesidades de la dependencia.
" #peratividad del sistema
$e debe +erificar (ue el sistema efect#e en cada etapa de su ciclo las especificaciones
establecidas en el Anlisis "ise2o se cumpla con el procedimiento aprobado para el
sistema. "ebe anali!arse obser+ar tambi3n, si realmente tiene los re(uisitos de
operati+idad (ue hagan al sistema eficiente efica!.
$ Ciclo de vida
$e debe re+isar todo el ciclo del sistema:
>eneracin del dato
Ingreso del dato
6ransmisin del dato
)rocesamiento del dato
?
% Actualizacin de arc&ivos
"ebe +erificarse (ue e*istan registros rutinas de control (ue con cierta frecuencia de
tiempo o de per%odo, determine si e*iste coherencia entre la cantidad de registros
+alores de totales de los archi+os.
' Integridad de los datos
"ebe asimismo, en forma e*terna, establecerse procedimientos de comparacin de la
informacin producida por el sistema contra otras informaciones disponibles, para
efectos de determinar la confiabilidad de la informacin.
&l aspecto ms importantes de todo el sistema son los resultados, por lo (ue al re+isar el
sistema debe +erificarse (ue los resultados cumplan con las especificaciones del dise2o
del sistema, lo cual debe comprobarse mediante 'uegos de datos de pruebas
especialmente preparados, (ue prueben todas las posibilidades de las entidades, datos
situaciones.
( Efectividad del sistema
/no de los aspectos ms importantes del sistema, es (ue sea efecti+o en conseguir los
ob'eti+os beneficios esperados, por lo (ue se debe indagar a los usuarios sobre el
grado de satisfaccin confiabilidad del sistema, (ue beneficios han sido conseguidos
los moti+os (ue impiden lograr otros, si los costos de operacin del sistema se
encuentran dentro de lo planificado (ue me'oras se han conseguido con tal reduccin,
(ue tanto ha me'orado la precisin de la informacin en (ue medida se ha completado
bsicamente, cuanto se redu'o el tiempo de atencin al cliente cual fue el
incremento de producti+idad para la institucin poseedora del mismo.
) Seguridad del sistema
"ebe comprobarse (ue sistema cuente con los siguientes tipos de seguridad:
$eguridad de acceso a la informacin
$eguridad de acceso a los programas
$eguridad ante contaminacin de +irus
* Sistema de respaldo
)re+iendo posibles problemas con el soft@are es necesario (ue el e(uipo central cuente
con caracter%sticas t3cnicas de respaldo como:
Listados diarios de informacin, lo cual permitir%a seguir operando por lo menos
manualmente en casos e*tremos.
-ac;ups de la -ase de "atos, deber%an efectuarse por cada cambio de turno de traba'o o
como m%nimo al final del d%a, debiendo inclusi+e el sistema haber sido programado para
(ue e*i'a efectuarse el bac;up respecti+o.
Copia de respaldo de los programas fuentes ob'etos de las aplicaciones, de la
plataforma de soft@are de las bases de datos completas de la Institucin 0hasta de tres
per%odos anteriores1, debi3ndose guardar una copia en el local de la Institucin otra
adicional en otro local para afrontar siniestros o desastres (ue pudieran ocurrir.
A
+ Audita,ilidad del sistema
&n general, todo sistema (ue se encuentra instalado, debe contar con +ol#menes de
informacin como:
7anual de usuario
7anual de procedimientos de los sistemas
"escripcin gen3rica
"iagramas de entrada, archi+os, salida
$alidas
Fecha de instalacin de los sistemas
)roecto de instalacin de nue+os sistemas
)R<-L&7B6ICA "& LA A/"I6<RIA "& /8A A)LICACI=8 I8F<R7A6ICA
8o registrar fielmente la informacin considerada de inter3s en torno a las
operaciones lle+adas a cabo por una determinada organi!acin: magnitudes f%sicas o
econmicas, fechas Co 'ur%dicas (ue inter+ienen o guardan relacin con cada operacin,
nombres, direcciones, etc.
Impedir la reali!acin de cuantos procesos de calculo edicin sean necesarios a
partir de la informacin registrada, pudiendo por tanto almacenar automticamente mas
informacin (ue la de partida, aun(ue siempre basada en a(uella.
Imposibilidad de dar respuesta a consultas de todo tipo sobre la informacin
almacenada, dise2adas en contenido forma para dar cobertura a las necesidades ms
comunes constatadas.
8o generar informes (ue sir+an de auda para cual(uier finalidad de interes en la
organi!acin, presentando la informacin adecuada.
)osibilidad de fallo en cual(uiera de los elementos (ue inter+ienen en el proceso
informtico: soft@are m#ltiple perteneciente a diferentes firmas, ordenador central
dispositi+os perif3ricos, transmisin de datos 0ser+idores, mdems, l%neas de
comunicaciones, etc.1 constitue otra fuente de posibles riesgos.
La cone*in cada +e! mas generali!ada de las empresas a entornos abiertos como
Internet multiplica los riesgos (ue amena!an la confidencialidad e integridad de la
informacin de nuestros sistemas.
)ara cada una de ellas se habr debido estudiar las posibles medidas tendientes a eliminar
los riesgos (ue entra2an o, cuando menos, reducir la probabilidad de su materiali!acin
hasta ni+eles ra!onablemente asumibles, siempre teniendo en cuenta el costo de tales
medidas.
"ichas medidas son fundamentalmente medidas de control interno (ue consisten en los
procedimientos para +erificar, e+aluar tratar de garanti!ar (ue DtodoE funciona como se
espera: de acuerdo con las pol%ticas, directrices, normas procedimientos establecidos en
los diferentes mbitos de responsabilidad.
&n el terreno de una aplicacin informtica, el control interno se materiali!a
fundamentalmente en controles de dos tipos:
F
Controles manuales: lo reali!an el personal del rea usuaria.
Controles automticos: incorporados a los programas de la aplicacin (ue sir+an
para tratar de asegurar (ue la informacin se registre mantenga completa e*acta, los
procesos de todo tipo sobre la misma sean correctos su utili!acin por parte de los
usuarios respete los mbitos de confidencialidad establecidos permita en practica
principios generales de control interno como referente a la segregacin de funciones.
Ambos controles, seg#n su finalidad, se suelen clasificar en:
Controles )re+enti+os: tratan de audar a e+itar la produccin de errores a base de
e*igir el a'uste de los datos introducidos a patrones de formato estructura, pertenencia a
una lista de +alores +alidos o a un fichero maestro, rango entre l%mites determinados,
incorporacin de d%gitos de control en datos cla+e , en general, cual(uier criterio (ue
aude a asegurar la correccin formal de los datos.
Controles detecti+os: tratan de descubrir a errores (ue no haa sido posible e+itar.
Controles correcti+os: tratan de asegurar (ue se subsanen todos los errores
identificados mediante controles detecti+os.
En la Auditoria de Aplicacin se trata de realizar una revisin de la eficacia del
funcionamiento de los controles dise-ados para cada uno de los pasos de la misma frente a
los riesgos .ue tratan de eliminar o minimizar/ como medios para asegurar la fia,ilidad/
seguridad/ disponi,ilidad y confidencialidad de la informacin gestionada por la
aplicacin
G&RRA7I&86A$ "& /$< 7A$ C<7/8 &8 LA A/"I6<RIA "& /8A
A)LICACI=8
"ebido a la tremenda e+olucin de las tecnolog%as, en lo referente a los sistemas de
informacin, es (ue el personal de auditoria interna en particular a los especialistas en la
Auditoria Informtica estn obligados a reali!ar un esfuer!o considerable de formacin.
&ste reto debe ser asumido por la direccin de Auditoria, (ue debe impulsar la respuesta
adecuada al mismo, recogida en un plan de formacin, (ue inclua la atencin a las nue+as
tendencias preocupaciones.
Las herramientas mas com#nmente utili!adas en la Auditoria de Aplicacin Informtica
son:
Entrevistas
"eben cumplir una serie de re(uisitos:
Las personas a entre+istar deben ser a(uellas (ue ms puedan aportar al propsito
pretendido.
La entre+ista debe ser preparada con rigor de cara a sacar el m*imo partido de ella.
)ara ello es indispensable escribir el guin de temas apartados a tratar para e+itar
(ue (uede sin tratar alg#n asunto de inter3s.
H
Ga de ser concertada con los interlocutores con antelacin suficiente, informndoles
el moti+o las materias a tratar en ella, la duracin apro*imada pre+ista solicitando la
preparacin de la documentacin o informacin (ue pueda ser necesario aporten durante la
misma: no debe faltar la in+itacin a colaborar con cuantas sugerencias estimen oportuno,
no solo sobre el propio ob'eto de la entre+ista sino tambi3n con miras ms amplias en
relacin con el proceso global desarrollado por la organi!acin la aplicacin informtica
(ue apoa el proceso.
Las 'efaturas de las personas a entre+istar deben estar informadas de las actuaciones
pre+istas: en general ser positi+o (ue sea el propio 'efe (uien comuni(ue al interesado la
necesidad de participar en la auditoria.
"urante el desarrollo de la entre+ista, el auditor tomara las anotaciones
imprescindibles: lo ms pr*imo posible a la finali!acin de la entre+ista el auditor debe
repasar sus anotaciones, completando con detalles (ue pueda recordar a(uellas (ue
pudieran haber (uedado esbo!adas, refle*ionando sobre las posibles implicaciones de las
no+edades o singularidades (ue el interlocutor haa podido aportar.
Encuestas
)ueden ser de utilidad tanto para audar a determinar el alcance ob'eti+os de la
auditoria como para la materiali!acin de ob'eti+os relacionados con el ni+el de
satisfaccin de los usuarios.
La maor%a de los re(uisitos enumerados para las entre+istas son tambi3n de aplicacin
para las encuestas:
$i ha (ue preparar un cuestionario (ue pueda ser contestado con la maor rapide! a
base de marcar las respuestas entre las posibles.
Con+iene (ue todas las preguntas +aan seguidas de un espacio destinado a
obser+aciones, no solo las (ue soliciten descripcin cuando la respuesta haa podido ser
D<trosE, caso de eleccin entre +arias alternati+as. Al final del cuestionario ha (ue
solicitar sugerencias u obser+aciones abiertas, me'or en pagina e*clusi+a para ello, (ue
pueda ser fotocopiada por (uienes necesiten mas espacio para sus comentarios.
Aun(ue no puede ni debe e*igirse la identificacin personal del encuestado, si debe
hacerse de la organi!acin a la (ue pertenece. $in embargo si puede in+itarse a (ue se
identifi(ue (uien no tenga ning#n incon+eniente en ello, lo (ue permitir%a contactos
enri(uecedores si la encuesta contestada plantea asuntos de inter3s.
Observaciones del trabajo realizado por los usuarios
Aun(ue por otros medios puede llegarse a comprobar (ue la aplicacin funciona con
garant%as de e*actitud fiabilidad, es con+eniente obser+ar cmo alg#n usuario hace uso de
a(uellas transacciones ms significati+as por su +olumen o riesgo: puede audar a detectar
(ue la eficiencia no est3 en el ni+el optimo: no es infrecuente (ue un auditor e*perimentado
identifi(ue me'oras en este tipo de obser+aciones: desde carencias del usuario o +icios
ad(uiridos (ue puedan denotar falta de formacin, hasta me'oras de dise2o (ue puedan
aumentar la agilidad producti+idad en el uso de la aplicacin: recomendaciones de
opciones o +alores propuestos por defecto, simplificacin de pasos, etc.
I
Pruebas de conformidad
$on actuaciones orientadas espec%ficamente a comprobar (ue determinados
procedimientos, normas o controles internos se cumplen o funcionan de acuerdo con lo
pre+isto esperado, seg#n lo descrito en la documentacin oportuna.
La comprobacin debe lle+ar a la e+idencia a tra+3s de la inspeccin de los
resultados producidos: registros, documentos, conciliaciones, etc. Co obser+acin directa
del funcionamiento de un control ante pruebas especificas de su comportamiento.
La e+idencia de incumplimiento puede ser puesta de manifiesto a tra+3s de informes
de e*cepcin.
Los testimonios de incumplimiento no implican e+idencia pero, si parten de +arias
personas, es probable (ue la organi!acin asuma como +alidos dichos testimonios por lo
tanto las consecuencias (ue de los mismos pudieran deri+arse de cara a posibles
recomendaciones, ahorrando esfuer!os para tratar de conseguir su confirmacin
documental.
Pruebas substantivas o de validacin
<rientadas a detectar la presencia o ausencia de errores o irregularidades en procesos,
acti+idades, transacciones o controles internos integrados en ellos.
&stn especialmente indicadas en situaciones en las (ue no ha e+idencia de (ue e*istan
controles internos rele+antes, suficientes como para garanti!ar el correcto funcionamiento
del proceso o elemento considerado.
6odo tipo de error o incidencia imaginable puede ser ob'eto de in+estigacin en esta
clase de pruebas. &n el mbito de la auditoria de una aplicacin informtica, irregularidades
de di+ersa %ndole (ue pueden afectar a las transacciones:
4 6ransacciones omitidas, no registradas en el sistema.
4 "uplicadas, registradas mas de una +e!.
4 Ine*istentes indebidamente incluidas.
4 Registradas sin contar con las autori!aciones establecidas.
4 Incorrectamente clasificadas o contabili!adas en cuentas diferentes a los
procedentes.
4 6ransacciones con informacin errnea, desde su origen o por alteracin
posterior, (ue no refle'a la realidad.
Infinidad de recursos pueden ser utili!ados para detectar indicios de posibles
errores: indicios cua presencia deber lle+ar a profundi!ar en la in+estigacin para
constatar la e*istencia real de anomal%as.
&'ecucin manual, normalmente se aplica sobre muestras, estad%sticas no
estad%sticas.
4 )ara las primeras e+identemente son de aplicacin las t3cnicas de muestreo
estad%stico, (ue debern ser respetadas para el calculo del tama2o de las muestras su
seleccin en funcin del ni+el de significacin error m*imo con (ue interese traba'ar en
cada caso.
4 Las muestras no estad%sticas, dirigidas, basaran la seleccin en la b#s(ueda de
las operaciones con maor probabilidad de error Co consecuencias ms gra+es, pre+io
J
anlisis de las condiciones de la informacin disponible (ue permitan componer un
indicador de priori!acin, asignando puntuaciones al cumplimiento de determinadas
condiciones.
Uso del ordenador
&l uso de ordenadores constitue una de las herramientas ms +aliosas en la
reali!acin de la auditoria de una aplicacin informtica. Los ordenadores pueden ser
personales, con los (ue el auditor informtico debe estar familiari!ado mane'ando con
soltura las t3cnicas de edicin de te*tos presentaciones, ho'as de calculo, gestor de bases
de datos, correo electrnico, etc., u ordenadores sobre los (ue se e*plota la aplicacin
ob'eto de la auditoria.
&*isten en el mercado infinidad de productos de soft@are concebidos para facilitar
la tarea del auditor: herramientas (ue permiten el acceso generali!ado a la informacin
contenida en ficheros bases de datos de forma transparente para el usuario con
independencia de las caracter%sticas de organi!acin modo de almacenamiento.
$e pueden obtener resultados similares haciendo uso de herramientas disponibles en
la organi!acin no necesariamente dise2adas para funciones de auditoria. Contando con
una herramienta de interrogacin, un lengua'e $KL, se puede acceder a la informacin
seleccionar la (ue interese: su proceso posterior a tra+3s de un gestor de base de datos, tipo
ACC&$$ o similar, ofrece un potencial de tratamiento prcticamente ilimitado.
Las pistas de auditoria de (ue est3 pro+ista la aplicacin debe constituir un apoo
importante a la hora de utili!ar el ordenador para detectar situaciones o indicios de posible
error.
Ga (ue considerar la posibilidad de utili!ar la propia aplicacin, aplicando 'uegos
de ensao o transacciones ficticias preparadas por los auditores, para +erificar la eficacia de
los controles implantados.
&6A)A$ "& LA A/"I6<RIA "& /8A A)LICACI=8 I8F<R7A6ICA
Recoida de informacin y documentacin sobre la aplicacin
Reali!amos un estudio preliminar en el (ue recogemos toda a(uella informacin (ue nos
puede ser #til para determinar los puntos d3biles e*istentes a(uellas funciones de la
aplicacin (ue puedan entra2ar riesgos.
A tra+3s de entre+istas con personal de e(uipos responsables de la aplicacin, tanto desde
la organi!acin usuaria como la de $istemas de Informacin, se inicia el proceso de
recopilacin de informacin documentacin (ue permitir profundi!ar en su
conocimiento hasta ni+eles de e*igencia necesarios para la reali!acin del traba'o.
&l primer reto con el (ue nos encontramos es el de identificar las personas mas
adecuadas, en cada uno de los mbitos de organi!acin, para poder transmitir al
responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, sus
fortale!as, posibles debilidades, riesgos e in(uietudes suscitadas en torno a ella.
Identificadas dichas personas se intenta crear un ambiente de colaboracin, con el fin de
(ue transmitan al e(uipo auditor su +isin personal de la situacin, aportando cuantas
L
sugerencias estimen de inter3s, adems de suministrar la documentacin (ue se les solicite
est3n en disposicin de proporcionar.
)ara cubrir esta etapa del traba'o de auditoria resulta #til confeccionar unas gu%as (ue nos
permitan seguir una determinada pauta en las primeras entre+istas contengan la relacin
de documentos a solicitar, todos a(uellos (ue auden a:
Ad(uirir una primera +isin global del sistema: descripcin general de la aplicacin,
)lan de $istemas de la empresa, 7anual de /suario, etc.
Conocer la organi!acin los procedimientos de los ser+icios (ue utili!an la
aplicacin, bases de la organi!acin de la separacin de funciones, grado de participacin
de los usuarios en el desarrollo en las pruebas de la aplicacin, medidas generales de
control 0proteccin f%sica, proteccin lgica1.
"escribir el entorno en el (ue se desarrolla la aplicacin: conocer recursos de
ordenador central asignados, numero de mini o micro ordenadores asignados total o
parcialmente a la aplicacin, cantidad de recursos perif3ricos asignados, configuracin de la
red de las l%neas de comunicaciones usadas, etc.
&ntender el entorno de Dsoft@areE bsico de la aplicacin, identificando las
seguridades (ue ofrece los riegos inducidos.
Conocer las condiciones de seguridad de (ue dispone la aplicacin: controles (ue
incorpora, definicin de perfiles de acceso a los recursos a la aplicacin, e*istencia de
pistas de auditoria, grado de automati!acin, documentacin.
Resulta con+eniente (ue el auditor solicite los documentos formalmente, facilitando su
relacin (ue estos le sean suministrados en soporte informati+o en la medida de lo
posible.
Determinacin de los objetivos y alcance de la auditor!a
&l e*amen de los documentos recopilados la re+isin de los temas tratados a lo largo de
las entre+istas mantenidas deben permitirle al auditor establecer sus propuestas de ob'eti+os
de la auditoria de la aplicacin un plan detallado del traba'o a reali!ar.
$e debe desear (ue los ob'eti+os propuestos sean consensuados con el e(uipo responsable
de la aplicacin en la organi!acin usuaria.
&n la preparacin del plan de traba'os se debe tratar de transmitir:
!a planificacin de los tra,ajos y el tiempo a emplear, orden en (ue se e*aminaran
los diferentes aspectos, centros de traba'o en (ue se +an a desarrollar las pruebas, cargas de
tiempos asignacin de los traba'os entre los diferentes colaboradores del e(uipo.
las &erramientas y m0todos/ entre+istas con los usuarios los informticos,
ser+icios (ue se +an a auditar, documentos (ue ha (ue obtener, etc.
El programa de tra,ajo detallado, adaptado a las peculiaridades de cada aplicacin,
pero tratando de seguir un es(uema tipo.
"esarrollo de temas como:
4 modos de captura +alidacin
4 soportes de los datos a capturar
4 controles sobre los datos de entrada
4 tratamiento de errores
4 etc.
.M
1ests de confirmacin/ tests so,re los datos y los resultados, a(uellos (ue
consideramos necesarios para asegurar (ue los controles funcionan como se han descrito
pre+isto, (ue los controles internos son aplicados.
Planificacin de la auditoria
La auditoria de una aplicacin informtica debe ser ob'eto de una planificacin
cuidadosa. &s de crucial importancia acertar con el momento mas adecuado para su
reali!acin:
4 )or una parte no con+iene (ue coincida con el periodo de su implantacin, en
(ue los usuarios no dominan toda+%a la aplicacin estn mas agobiados con la tarea diaria.
4 )or otra parte el retraso e*cesi+o en el comien!o de la auditoria puede alargar el
periodo de e*posicin a riesgos superiores (ue pueden deben ser aminorados como
resultado de ella. $e recomiendan periodos entre A J meses desde el inicio de la
implantacin.
Ga (ue establecer el mbito de actuacin: se debe delimitar el campo de actuacin
de la maor parte de las pruebas a reali!ar a un reducido numero de centros de traba'o de
campo.
"ebe conseguirse cuanto antes las autori!aciones necesarias para (ue el personal de
auditoria, (ue esta pre+isto participe en el traba'o, pueda acceder a la aplicacin a las
herramientas de usuario. $e solicitar como perfil de auditor, a(uel (ue ofre!ca las maores
posibilidades de consultas.
"rabajo de campo# informe e implantacin de mejoras
La etapa de reali!acin del traba'o de campo consiste en la e'ecucin del programa
de traba'o establecido. &+identemente, los resultados (ue se +an obteniendo pueden lle+ar a
a'ustar el programa en funcin de dichos resultados, (ue pueden aconse'ar ampliar la
profundidad de algunas pruebas, a cometer otras no pre+istas concluir alguna antes de su
final.
&n la etapa de redaccin del informe de la auditoria, (ue recoger las caracter%sticas
del traba'o reali!ado sus conclusiones recomendaciones o propuestas de me'ora.
&n cuanto a la etapa de implantacin de las me'oras identificadas en la auditoria, la
situacin optima a alcan!ar es conseguir (ue la organi!acin auditada asuma las propuestas
de actuacin para implantar las recomendaciones como ob'eti+os de la organi!acin: 3sta es
la me'or se2al de +aloracin positi+a por parte de una organi!acin a un traba'o de
auditoria.
..
Auditoria Informtica de E$plotacin
$I$6&7A$ "& I8F<R7ACI=8
&n un sentido amplio se puede considerar en $istema de Informacin 0$I1 como un
con'unto de componentes (ue interact#an para (ue la empresa pueda alcan!ar sus ob'eti+os
satisfactoriamente. $eg#n el proecto Cobit los componentes o recursos de un $I son los
siguientes:
2atos &n general se consideraran datos tanto los estructurados como los no
estructurados, las imgenes, los sonidos, etc.
Aplicaciones $e incluen las aplicaciones manuales las informticas.
1ecnologa &l soft@are el hard@are: los sistemas operati+os: los sistemas de
gestin de bases de datos: los sistemas de red, etc.
Instalaciones &n ellas se ubican se mantienen los sistemas de informacin.
Personal Los conocimientos espec%ficos (ue ha de tener el personal de los
sistemas de informacin para planificarlos, organi!arlos, administrarlos gestionarlos.
&stos recursos de los sistemas de informacin se han de utili!ar, de forma (ue permitan la
eficacia la eficiencia de la empresa: (ue los datos financieros elaborados por su sistema
de informacin muestren una imagen fiel de la misma (ue la empresa cumpla la
legislacin +igente. )or otra parte el sistema debe asegurar la confidencialidad de sus
datos, aspecto este ultimo contemplado en la legislacin +igente.
)ara hacer el seguimiento comprobar (ue el sistema de informacin esta actuando como
es percepti+o, este habr de disponer de un control interno (ue pre+enga los e+entos no
deseados o en su defecto los detecte los corri'a.
&s con+eniente recordar (ue el resultado de la auditoria parcial de un sistema de
informacin no se puede e*trapolar al con'unto del sistema. &l funcionamiento inadecuado
de alguno 0 o algunos1 de los procesos recursos (ue inter+ienen en otras partes del sistema
0subsistemas1 puede in+alidar el sistema de informacin.
CAR6A "& &8CAR><
La responsabilidad del traba'o de auditoria debe (uedar recogida en un contrato o carta de
encargo antes de comen!ar su reali!acin. &n ese documento debe (uedar refle'ado de la
forma mas clara posible, entre otros aspectos, cual ser el alcance del traba'o del auditor.
)LA8IFICACI=8
$eg#n la 8orma >eneral numero H de I$ACA las auditorias de los sistemas de informacin
deben planificarse super+isarse para tener la seguridad de (ue los ob'eti+os de las mismas
se alcan!an se cumplen.
.9
&n la planificacin de la auditoria +amos a considerar tres fases:
.. )lanificacin estrat3gica.
9. )lanificacin administrati+a.
?. )lanificacin t3cnica.
Planificacin Estrat%ica
&s una re+isin global (ue permite conocer la empresa, el $I su control interno con la
intencin de hacer una primera e+aluacin de riesgos. $eg#n los resultados de esa
e+aluacin se establecern los ob'eti+os de la auditoria se podr determinar su alcance
las pruebas (ue haan de aplicarse, as% como el momento de reali!arlas. )ara lle+ar a cabo
esta tarea es necesario conocer entre otros aspectos los siguientes:
Las caracter%sticas de los e(uipos informticos.
&l sistema o los sistemas operati+os.
Caracter%sticas de los ficheros o de las bases de datos.
La organi!acin de la empresa.
La organi!acin del ser+icio de e*plotacin.
Las aplicaciones (ue el $I de la empresa (ue se este auditando o (ue se +aa a
auditar est3n en e*plotacin.
&l sector donde opera la empresa.
Informacin comercial.
La informacin puede obtenerse:
a1 7ediante entre+istas confirmaciones:
Con los responsables de e*plotacin.
Con los responsables del plan de contingencias.
Con los usuarios.
Con los pro+eedores de soft@are hard@are.
b1 Inspeccionando la siguiente documentacin:
Informes papeles de traba'o de auditorias anteriores.
Las normas procedimientos de la empresa relacionados con la e*plotacin del
sistema de informacin.
Los planes de contingencias.
Agenda de traba'o.
Instrucciones sobre el encendido apagado de los e(uipos.
Contratos de mantenimiento con otras empresas.
)rocedimientos de emergencia.
Instrucciones sobre seguridad f%sica lgica.
Instrucciones sobre la separacin de las bibliotecas de desarrollo produccin.
.?
/na muestra representati+a de las instrucciones operati+as de las aplicaciones mas
importantes donde se incluan: fecha, entradas, tiempo de proceso, mensa'es de errores,
instrucciones para finali!ar tareas errneas diarios de operaciones.
Clasificacin de los controles
&n la auditoria informtica se ha distinguido, tradicionalmente, entre controles generales de
las aplicaciones.
Los Controles >enerales son una parte del entorno general de control son a(uellos (ue
afectan, en un centro de proceso electrnico de datos, a toda la informacin por igual a la
continuidad de este ser+icio en la entidad. La debilidad o ausencia de estos controles
pueden tener un impacto significati+o en la integridad e*actitud de los datos. 6ambi3n se
consideran controles generales a(uellos relacionados con la proteccin de los acti+os: la
informacin resultante, los elementos f%sicos del hard@are el soft@are 0programas
sistemas operati+os1.
Los Controles de Aplicaciones son a(uellos relacionados con la captura, entrada registro
de datos en un sistema informtico, as% como los relacionados con su procesamiento,
calculo salida de la informacin su distribucin.
a1 Controles >enerales
Los controles generales se pueden clasificar en las siguientes categor%as:
.. Controles <perati+os de <rgani!acin:
$egregacin de funciones entre el ser+icio de informacin los usuarios.
&*istencia de autori!acin general en lo (ue respecta a la e'ecucin a las
transacciones del "epartamento.
$egregacin de funciones en el seno del $er+icio de Informacin.
9. Controles sobre el desarrollo de programas su documentacin:
Reali!acin de re+isiones, pruebas aprobacin de los nue+os sistemas.
Controles de las modificaciones de los programas.
)rocedimientos de documentacin.
?. controles sobre los )rogramas los &(uipos:
Caracter%sticas para detectar, de manera automtica, errores.
Gacer mantenimientos pre+enti+os peridicos.
)rocedimientos para salir de los errores de los e(uipos 0hard@are1.
Control autori!acin adecuada en la implementacin de sistemas en las
modificaciones de los mismos.
.A
A. Controles de acceso:
$ir+en para detectar Co pre+enir errores accidentales o deliberados, causados por el
uso o la manipulacin inadecuada de los ficheros de datos por el uso incorrecto o no
autori!ado de los programas.
F. Controles sobre los procedimientos los datos:
7anuales escritos como soporte de los procedimientos los sistemas de aplicacin.
Controles de las conciliaciones entre los datos fuente los datos informticos.
Capacidad para restaurar ficheros perdidos, deteriorados o incorrectos.
b1 Controles de las Aplicaciones
Los Controles de las aplicaciones estn relacionados con las propias aplicaciones
informati!adas. Los controles bsicos de las aplicaciones son tres: captura, proceso
salida.
.. Controles sobre la captura de datos:
Altas de mo+imientos.
7odificaciones de mo+imientos.
Consultas de mo+imientos.
7antenimiento de los ficheros.
9. Controles de proceso. 8ormalmente se incluen en los programas. $e
dise2an para detectar o pre+enir los siguientes tipos de errores:
&ntrada de datos repetidos.
)rocesamiento actuali!acin de fichero o ficheros e(ui+ocados.
&ntrada de datos ilgicos.
)erdida o distorsin de datos durante el proceso.
?. Controles de salida y distri,ucin. Los controles de salida se dise2an para
asegurarse de (ue el resultado del proceso es e*acto (ue los informes
dems salidas los reciben solo las personas (ue estn autori!adas.
&n el proecto Cobit se establece una nue+a clasificacin, donde se afirma (ue e*isten tres
ni+eles en las tecnolog%as de la Informacin a la hora de considerar la gestin de sus
recursos: acti+idades Co tareas, procesos dominios.
Actividades y 1areas !as actividades y las tareas son necesarias para alcanzar un
resultado cuantifica,le !as actividades suponen un concepto cclico/ mientras .ue
las tareas implican un concepto algo m3s discreto
.F
Procesos. Los procesos se definen como una serie de acti+idades o tareas unidas por
interrupciones naturales
2ominios Los procesos se agrupan de forma natural dando lugar a los dominios, (ue se
confirman, generalmente, como dominios de responsabilidad en las estructuras
organi!ati+as de las empresas estn en l%nea con el ciclo de gestin aplicable a los
procesos de las tecnolog%as de la Informacin
Evaluacin de los controles internos
&s funcin del auditor e+aluar el ni+el de control interno: tambi3n es de su responsabilidad
'u!gar si los procedimientos establecidos son los adecuados para sal+aguardar el sistema de
informacin.
La naturale!a la e*tensin de los controles (ue re(uieren los sistemas de proceso de datos
+ariaran de acuerdo con la clase de sistemas en uso.
&ontrol: normas, procedimientos, practicas estructuras organi!ati+as dise2adas para
proporcionar seguridad ra!onable de (ue los ob'eti+os de las empresas se alcan!aran (ue
los e+entos no deseados se pre+ern, se detectaran se corregirn.
)ara e+aluar los controles es necesario buscar e+idencia sobre:
La terminacin completa de todos los procesos.
La separacin f%sica lgica de los programas fuentes ob'etos de las bibliotecas
de desarrollo, de pruebas de produccin.
La e*istencia de normas procedimientos para pasar los programas de una
biblioteca a otra.
Las estad%sticas de funcionamiento, donde al menos se inclua:
4 Capacidad utili!acin del e(uipo central de los perif3ricos.
4 /tili!acin de la memoria.
4 /tili!acin de las telecomunicaciones.
Las normas del ni+el de ser+icios de los pro+eedores.
Los estndares de funcionamiento interno.
&l mantenimiento re+isin de los diarios de e*plotacin.
La reali!acin del mantenimiento peridico de todos los e(uipos.
La e+idencia de la rotacin de los turnos de los operadores de las +acaciones
tomadas.
Esta,lecimiento de #,jetivos
&n funcin de la importancia de los riesgos (ue se haan detectado, el auditor establecer
los ob'eti+os de la auditoria, cua determinacin concreta permitir definir con claridad el
alcance de la misma.
.H
$e considera (ue el riesgo es la presentacin negati+a de un ob'eti+o de auditoria. $i la
oracin negati+a se transforma en oracin afirmati+a, se tiene como resultado un ob'eti+o
de control.
)ara alcan!ar los ob'eti+os habr (ue dise2ar una serie de pruebas de cumplimiento
sustanti+as. Cada una de esas pruebas es un procedimiento.
Los procedimientos podr%an ser:
a1 )ruebas de cumplimiento
$i se confirma (ue no e*isten manuales, no se pueden hacer pruebas de cumplimiento, pues
las pruebas de cumplimiento consisten en comprobar (ue se estn cumpliendo las normas
establecidas.
La ine*istencia de manuales no implica, (ue los traspasos se lle+an a cabo
inadecuadamente. )ara confirmarlo, al no e*istir normas, se tendr%an (ue reali!ar pruebas
sustanti+as.
b1 )ruebas sustanti+as
Re+isar las aplicaciones , si son pocas aplicaciones se re+isan todas: si son muchas se elige
una muestra representati+a , (ue se han pasado de desarrollo a e*plotacin, re+isar (ue
antes de pasarlas han sido sometidas a un lote de pruebas las han superado
satisfactoriamente. Kue esas pruebas cumplen los re(uisitos estndares del sector. Kue
el traspaso ha sido autori!ado por una persona con la suficiente autoridad.
Planificacin Administrativa
La planificacin administrati+a no se deber%a hacer hasta haber concluido la planificacin
estrat3gica. &n esta fase de la planificacin pueden surgir ciertos problemas por coincidir
las fechas de traba'o del personal de la empresa auditora con otros clientes. As% en esta
etapa deben (uedar claros los siguientes aspectos:
Evidencia. &n este punto se podr hacer una relacin con la documentacin disponible en
la etapa anterior, documentacin (ue se utili!ara indicando el lugar donde se encuentra para
(ue este a disposicin del e(uipo de auditoria.
Personal. "e (ue personal se +a a disponer, (ue conocimientos e*periencia son ideales
si +a a ser necesario o no contar con e*pertos, tanto personal de la empresa auditora como
e*pertos e*ternos.
Calendario. &stablecer la fecha de comien!o de finali!acin de la auditoria determinar
donde se +a a reali!ar cada tarea: en las dependencias del cliente o en las oficinas del
auditor.
Coordinacin y Cooperacin. &s con+eniente (ue el auditor mantenga buenas relaciones
con el DauditarioE, (ue se estable!ca, entre ambos, un ni+el de cooperacin sin (ue de'e de
cumplirse el principio de independencia.
.I
Planificacin "%cnica
&n esta ultima fase se ha de elaborar el programa de traba'o. &n la fase de planificacin
estrat3gica se han establecido los ob'eti+os de la auditoria. &n la fase de planificacin
administrati+a se han asignado los recursos de personal, tiempo, etc. en esta fase de
planificacin t3cnica se indican los m3todos, los procedimientos, las herramientas las
t3cnicas (ue se utili!an para alcan!ar los ob'eti+os de la auditoria.
&l programa de auditoria debe ser fle*ible abierto, de tal forma (ue se puedan ir
introduciendo cambios a medida (ue se +aa conociendo me'or el sistema me'or el sistema.
&l programa el resto de los papeles de traba'o son propiedad del auditor. &ste no tiene la
obligacin de mostrrselos a la empresa (ue se audita, debiendo custodiarlos durante el
pla!o (ue mar(ue la le.
"edicarle a la planificacin el tiempo necesario permite e+itar perdidas innecesarias de
tiempo de recursos.
R&ALINACI=8 "&L 6RA-AO<
Objetivo 'eneral
Asegurarse de .ue las funciones .ue sirven de apoyo a las tecnologas de la informacin se
realizan con regularidad/ de forma ordenada/ y satisfacen los re.uisitos empresariales.
Objetivos espec!ficos
)ara alcan!ar el ob'eti+o general, se puede di+idir ese ob'eti+o en di+ersos ob'eti+os
espec%ficos sobre los (ue se reali!aran las pruebas oportunas para asegurarse (ue el ob'eti+o
general se alcan!a. &l es(uema de traba'o, para cada uno de los ob'eti+os es el siguiente:
Comprender las tareas, las acti+idades del proceso (ue se esta auditando
"eterminar si son o no apropiados los controles (ue estn instalados
Gacer pruebas de cumplimiento para determinar si los controles (ue estn instalados
funcionan seg#n lo establecido, de manera consistente continua.
El o,jetivo de las prue,as de cumplimiento consiste en analizar el nivel de
cumplimiento de las normas de control .ue tiene esta,lecidas el 4auditario5 Se
supone .ue esas normas de control esta,lecidas son eficientes y efectivas
Gacer pruebas sustanti+as para a(uellos ob'eti+os de control cuo buen
funcionamiento con las pruebas de cumplimiento no nos ha satisfecho.
El o,jetivo de las prue,as sustantivas consiste en realizar las prue,as necesarias so,re
los datos para .ue proporcionen la suficiente seguridad a la direccin so,re si se &a
alcanzado su o,jetivo empresarial
.J
La &*plotacin Informtica se ocupa de producir resultados informticos de todo tipo:
listados impresos, ficheros soportados magn3ticamente para otros informticos, ordenes
automati!adas para lan!ar o modificar procesos industriales, etc. La e*plotacin
informtica se puede considerar como una fabrica con ciertas peculiaridades (ue la
distinguen de las reales. )ara reali!ar la &*plotacin Informtica se dispone de una materia
prima, los "atos, (ue es necesario transformar, (ue se someten pre+iamente a controles
de integridad calidad. La transformacin se reali!a por medio del )roceso informtico, el
cual est gobernado por programas. <btenido el producto final, los resultados son
sometidos a +arios controles de calidad , finalmente, son distribuidos al cliente, al usuario.
Auditar &*plotacin consiste en auditar las secciones (ue la componen sus
interrelaciones. La &*plotacin Informtica se di+ide en tres grandes reas: )lanificacin,
)roduccin $oporte 63cnico, en la (ue cada cual tiene +arios grupos.
Control de Entrada de 2atos6
$e anali!ar la captura de la informacin en soporte compatible con los $istemas, el
cumplimiento de pla!os calendarios de tratamientos entrega de datos: la correcta
transmisin de datos entre entornos diferentes. $e +erificar (ue los controles de integridad
calidad de datos se reali!an de acuerdo a 8ormas.
Planificacin y Recepcin de Aplicaciones6
$e auditarn las normas de entrega de Aplicaciones por parte de "esarrollo, +erificando
su cumplimiento su calidad de interlocutor #nico. "ebern reali!arse muestreos selecti+os
de la "ocumentacin de las Aplicaciones e*plotadas. $e in(uirir sobre la anticipacin de
contactos con "esarrollo para la planificacin a medio largo pla!o.
Centro de Control y Seguimiento de 1ra,ajos6
$e anali!ar cmo se prepara, se lan!a se sigue la produccin diaria. -sicamente, la
e*plotacin Informtica e'ecuta procesos por cadenas o lotes sucesi+os 0-atchP1, o en
tiempo real 06iempo RealP1. 7ientras (ue las Aplicaciones de 6eleproceso estn
permanentemente acti+as la funcin de &*plotacin se limita a +igilar recuperar
incidencias, el traba'o -atch absorbe una buena parte de los efecti+os de &*plotacin. &n
muchos Centros de )roceso de "atos, 3ste rgano recibe el nombre de Centro de Control de
-atch. &ste grupo determina el 3*ito de la e*plotacin, en cuanto es uno de los factores ms
importantes en el mantenimiento de la produccin.
P-atch 6iempo Real:
Las Aplicaciones (ue son -atch son Aplicaciones (ue cargan mucha informacin durante
el d%a durante la noche se corre un proceso enorme (ue lo (ue hace es relacionar toda la
informacin, calcular cosas obtener como salida, por e'emplo, reportes. < sea, recolecta
informacin durante el d%a, pero toda+%a no procesa nada. &s solamente un tema de Q"ata
&ntrQ (ue recolecta informacin, corre el proceso -atch 0por lotes1, calcula todo lo
necesario para arrancar al d%a siguiente.
.L
Las Aplicaciones (ue son 6iempo Real u <nline, son las (ue, luego de haber ingresado la
informacin correspondiente, inmediatamente procesan de+uel+en un resultado. $on
$istemas (ue tienen (ue responder en 6iempo Real.
#peracin Salas de #rdenadores6
$e intentarn anali!ar las relaciones personales la coherencia de cargos salarios, as%
como la e(uidad en la asignacin de turnos de traba'o. $e +erificar la e*istencia de un
responsable de $ala en cada turno de traba'o. $e anali!ar el grado de automati!acin de
comandos, se +erificara la e*istencia grado de uso de los 7anuales de <peracin. $e
anali!ar no solo la e*istencia de planes de formacin, sino el cumplimiento de los mismos
el tiempo transcurrido para cada <perador desde el #ltimo Curso recibido. $e estudiarn
los monta'es diarios por horas de cintas o cartuchos, as% como los tiempos transcurridos
entre la peticin de monta'e por parte del $istema hasta el monta'e real. $e +erificarn las
l%neas de papel impresas diarias por horas, as% como la manipulacin de papel (ue
comportan.
Centro de Control de Red y Centro de 2iagnosis6
&l Centro de Control de Red suele ubicarse en el rea de produccin de &*plotacin. $us
funciones se refieren e*clusi+amente al mbito de las Comunicaciones, estando mu
relacionado con la organi!acin de $oft@are de Comunicaciones de 63cnicas de $istemas.
"ebe anali!arse la fluide! de esa relacin el grado de coordinacin entre ambos. $e
+erificar la e*istencia de un punto focal #nico, desde el cual sean perceptibles todos las
l%neas asociadas al $istema. &l Centro de "iagnosis es el ente en donde se atienden las
llamadas de los usuarios4clientes (ue han sufrido a+er%as o incidencias, tanto de $oft@are
como de Gard@are. &l Centro de "iagnosis est especialmente indicado para informticos
grandes con usuarios dispersos en un amplio territorio. &s uno de los elementos (ue ms
contribuen a configurar la imagen de la Informtica de la empresa. "ebe ser auditada
desde esta perspecti+a, desde la sensibilidad del usuario sobre el ser+icio (ue se le dispone.
8o basta con comprobar la eficiencia t3cnica del Centro, es necesario anali!arlo
simultneamente en el mbito de /suario.
&l auditor deber%a haber reali!ado las suficientes pruebas sobre los resultados de las
distintas tareas acti+idades de la e*plotacin del sistema de informacin como para poder
concluir si los ob'eti+os de control se han alcan!ado o no. Con esa informacin se debe
elaborar un informe si procede hacer las recomendaciones oportunas.
9M
Actividad: >rilla 4 Resolucin
. ) R < > R A 7 A
9 I R R & > / L A R I " A " & $
? C < 8 F I " & 8 C I A L I " A "
A & F & C 6 I 5 I " A "
F & $ 6 R A 6 & > I C A
H C < 8 6 R < L & $
I L I - R & R I A $
J $ & > / R I " A "
L A ) L I C A C I < 8
.
M
) R < C & " I 7 I & 8 6 < $
.
.
F R A / " &
.
9
) R < C & $ < $
.
?
/ $ / A R I < $
.
A
R & C / R $ < $
.
F
& X ) L < 6 A C I < 8 & $
.
H
" < C / 7 & 8 6 A C I < 8
.
I
I 8 F < R 7 A 6 I C A
.
J
A / 6 < 7 A 6 I C < $
.
L
& 8 C / & $ 6 A
Referencias:
.4 )arte del plan de traba'o (ue debe adaptarse a las caracter%sticas de una aplicacin.
94 RKu3 buscan detectar las pruebas sustanti+as o de +alidacinS
?4 Aspecto amena!ado, principalmente por el uso de Internet.
A4 Aspecto mas importante del sistema para conseguir los ob'eti+os beneficios
esperados.
F4 )rimera fase considerada en la )lanificacin &strat3gica.
H4 5erificaciones pre+enti+as, detecti+as correcti+as.
I4 Lugar donde solo puede tener acceso e*plotacin 0)lural1.
J4 Aspecto a re+isar en una aplicacin.
9.
L4 $oft@are utili!ado por la empresa.
.M4 7anual (ue brinda informacin para auditar el sistema.
..4 A(uello (ue busca detectar el auditor a tra+3s del control de procesos e'ecuciones
de programas cr%ticos.
.94 $erie de acti+idades o tareas unidas por interrupciones naturales.
.?4 R A (uien busca satisfacer una aplicacin eficiente bien desarrolladaS 0plural1.
.A4 7edios utili!ados para detectar indicios de posibles errores.
.F4 Auditoria (ue busca asegurar (ue las funciones (ue sir+en de apoo a las
tecnolog%as de la informacin se reali!an con regularidad, de forma ordenada,
satisfacen los re(uisitos empresariales.
.H4 <tro de los aspectos a re+isar en una aplicacin.
.I4 Informacin automati!ada.
.J4 6ipo de control interno de una aplicacin informtica 0plural1.
.L4 /na de las herramientas mas comunes usadas en la auditoria de una aplicacin.
(!labas)
a, as, au, bre, ca, ca, ca, ce, ce, cia, cio, cin, cin, con, con, cos, cu, cues, cur, da, dad, dad,
dad, de, den, des, di, do, e, en, es, e*, fec, fi, for, frau, gi, gra, gu, gu, i, in, la, les, li, li, ma,
m, m, men, mien, nes, pli, plo, pro, pro, pro, re, ri, ri, r%, rios, rre, se, sos, sos, sua, ta, ta,
ta, t3, ti, ti, ti, to, tos, tra, tro, u, +i.
99

Auditori A Des Arrollo G 6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditori A Des Arrollo G 6

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD TECNOLGICA NACIONAL AUDITORIA DE SISTEMAS

Facultad Regional Crdoba

You might also like